Ottimizzazione siti web ed ecommerce, il rapporto velocità/profitto

Studi recenti hanno dimostrato che esiste una chiara relazione tra la velocità di caricamento delle pagine di un sito e la loro capacità di condurre a contatti o produrre profitto nell’ambito ecommerce.
In un tempo in cui la maggior parte di siti web e’ costruita con il diffuso CMS WordPress e Woocommerce, spesso si assiste a tempi di caricamento di una singola pagina di oltre 8 secondi.

Gli studi eseguiti (kissmetrics) mostrano che il 47% dei consumatori si aspetta che una pagina web venga caricata in 2 secondi o meno.
Il 40% delle persone abbandona un sito web che impiega più di 3 secondi per caricarsi.
Un ritardo di 1 secondo nella risposta della pagina può comportare una riduzione del 7% delle conversioni.
Se un sito di e-commerce guadagna € 1.000 al giorno, un ritardo di un secondo a pagina pagina potrebbe potenzialmente costare € 25.000 di vendite perse ogni anno.
Alcune delle possibili soluzioni per l’ottimizzazione dei siti web sono: la riduzione delle immagini e degli script, sistemi di caching lato client e server, la compressione, l’uso di protocolli evoluti come http/2 e l’ottimizzazione del server.
Questa puo’ essere operata agendo su moltissimi parametri come l’ottimizzazione del database (che spesso e’ un elemento critico di tutto il sistema),  La scelta del tipo di web server (apache o nginx) e la sua configurazione con i corretti parametri per il carico di utilizzo previsto e per fronteggiare eventuali picchi di uso.
Impostante anche il linguaggio di scripting utilizzato (PHP, Ruby, Python, etc.) ed ovviamente la scelta del sistema operativo e la sua configurazione ottimale. Spesso, infatti, i parametri iniziali con cui vengono forniti i server (reali o virtuali) dagli hosting provider possono essere migliorati con incrementi di prestazioni ingenti.
Se questi parametri sono ben impostati, come descritto in precedenza, i miglioramenti di prestazioni ottenuti con l’ottimizzazione del server e l’ottimizzazione del sito web wordpress o woocommerce si traduce in maggiori profitti economici.

ottimizzazione siti apache, wordpress, woocommerce
ottimizzazione siti apache, wordpress, woocommerce

Meltdown, Spectre: la bufera informatica del 2018, a rischio la maggior parte dei computer.

Il 4 gennaio scorso sono state scoperte (da gruppi indipendenti) e rivelate 3 gravi vulnerabilità informatiche legate ai microprocessori moderni.
Le vulnerabilita’ affliggono Personal Computer, server, dispositivi mobili (tablet e telefoni) e servizi Cloud.
I bug chiamati Spectre, in due varianti, e Meltdown, possono essere usate per sferrare un attacco (side-channel) e sottrarre informazioni dai sistemi informatici su cui sono presenti. Tra queste password, file, documenti, immagini.
Il bug puo’ essere sfruttato sia su sistemi Windows, Linux e su Mac OSX.

Vulnerabilita Meltdown Spectre

L’allarme lanciato e’ grave e i grandi vendor e provider (Google, Amazon, Microsoft, etc.) sono tutti in fermento per individuare ed applicare soluzioni. In particolare la fonte autorevole Graz University of Technology, che e’ tra gli scopritori del problema, indica alcune allarmanti domande e risposte (FAQ), tra queste:

Sono interessato dalla vulnerabilità?
Sicuramente, sì.

Cosa può essere trapelato?
Se il tuo sistema è interessato, il nostro exploit proof-of-concept può leggere il contenuto della memoria del tuo computer. Questo può includere password e dati sensibili memorizzati nel sistema.

Alle aziende che gestiscono server e intendono mettere in sicurezza i loro sistemi informatici consigliamo di affidarsi ad esperti si sicurezza informatica (vedi SicurezzaRete).

 

VIDEO DIMOSTRATIVI


Riferimenti
https://meltdownattack.com/

CVE-2017-5715 (branch target injection – Spectre)
CVE-2017-5753 (bounds check bypass – Spectre)
CVE-2017-5754 (rogue data cache load – Meltdown)

Voucher per la digitalizzazione delle Pmi

Dal 15 gennaio 2018 il via ai Voucher per la digitalizzazione delle Pmi

Sono un contributo per le micro, piccole e medie imprese erogato tramite concessione di un “voucher” di importo non superiore a 10 mila euro, finalizzato all’adozione di interventi di digitalizzazione dei processi aziendali e di ammodernamento tecnologico.
La disciplina attuativa della misura è stata adottata con il decreto interministeriale 23 settembre 2014.
Il voucher è utilizzabile per l’acquisto di software, hardware e/o servizi specialistici che consentano di:
– migliorare l’efficienza aziendale;
– modernizzare l’organizzazione del lavoro, mediante l’utilizzo di strumenti tecnologici e forme di flessibilità del lavoro, tra cui il telelavoro;
– sviluppare soluzioni di e-commerce;
– fruire della connettività a banda larga e ultralarga o del collegamento alla rete internet mediante la tecnologia satellitare;
– realizzare interventi di formazione qualificata del personale nel campo ICT.

Anche gli interventi di assistenza e consulenza sistemistica rientrano nel campo delle azioni previste dal finanziamento.

Riferimento WEB

Gli acquisti devono essere effettuati successivamente alla pubblicazione sul sito web del Ministero del provvedimento cumulativo di prenotazione del Voucher adottato su base regionale.

Linux server, ovvero linux per aziende

Linux per aziende e’ sinonimo di linux server, e qui, il sistema operativo del pinguino, e’ ormai da tempo una consolidata realta’. Si adatta bene a praticamente qualsiasi situazione: dal grande sistema con migliaia di macchine dedicate al calcolo parallelo (HPC) al piccolo server virtuale che opera come webserver per fornire una esposizione della propria azienda o uno shop on-line dei propri prodotti.
Ma quali sono le distribuzioni più usate? In aprile 2017 ecco le preferite da utenti e amministratori di sistemi.
Ai primi posti troviamo Ubuntu, Debian, CentOS (fonte w3techs, dati basati sui webserver).

I motivi? Quasi certamente la solidità, la sicurezza e la rapidita’ di rilascio degli aggiornamenti, la grande disponibilità di pacchetti precompilati, il lungo tempo di supporto e i costi contenuti (o nulli).

Anche i nostri clienti a cui forniamo supporto alla gestione dei server rispecchiano queste statistiche e i criteri di scelta gia’ indicati sopra. Se vuoi maggiori dettagli sulle distribuzioni linux usate come in ambito server visita questa pagina: distribuzioni linux per aziende.

linux server statistiche 2017
linux server statistiche 2017

Falla kernel linux: “dirty cow”, aggiornamento dei server linux necessaria

Il 20 ottobre scorso una grave falla nel kernel linux e’ stata resa nota e corretta nelle piu’ recenti versioni del Kernel.
Il baco e’ grave, sfrutta un meccanismo mal gestito di Copy-On-Write (COW da cui prende il nome di Dirty COW) e permette ad utenti non privilegiati di eseguire operazioni con i massimi privilegi di amministrazione. Sulla rete circolano POC (proof-of-concept) che dimostrano che si puo’ facilmente sfruttare il baco. La classificazione CVSS3 indica una gravita’ 7.8 (su 10), una bassa complessita’ per la realizzazione di attacchi e un alto impatto di eventuali attacchi. La falla di recente identificata come CVE-2016-5195, e’ presente nel kernel Linux da alcuni anni e potrebbe essere stata sfruttata da tempo dagli hacker, solo ora e’ stata risolta ufficialmente.

I server che offrono servizi all’esterno (web server, ftp server, SQL server) devono essere urgentemente aggiornati. I principali vendor (RedHat, Suse, Canonical) stanno rilasciando i pacchetto per aggiornare i sistemi.
INFORMAZIONI DETTAGLIATE

Problemi sicurezza server linux: dirty cow
Problemi sicurezza server linux: dirty cow

Author: Brad Spengler <spender@grsecurity.net>
Date: Thu Oct 20 00:57:52 2016 -0400

From: Linus Torvalds <torvalds@linux-foundation.org>

This is an ancient bug that was actually attempted to be fixed once (badly) by me eleven years ago in commit 4ceb5db9757a (“Fix get_user_pages() race for write access”) but that was then undone due to problems on s390 by commit f33ea7f404e5 (“fix get_user_pages bug”). …
Also, the VM has become more scalable, and what used a purely theoretical race back then has become easier to trigger.

 

Servizio di monitoraggio web server e uptime siti web

Creato e attivato nuovo servizio di monitoraggio dei web server e di altri servizi (posta elettronica, database, etc.) per i clienti SicurezzaRete. A breve sara’ attivato un servizio gratuito anche per gli utenti che amministrano il proprio web server linux ma non sono ancora clienti di SicurezzaRete.
Il servizio avvisa con un alert lo staff che puo’ cosi’ intervenire tempestivamente per la risoluzione del disservizio (down) minimizzando il danno economico e di immagine dell’azienda.

servizio monitoraggio web server sicurezzarete
servizio monitoraggio web server sicurezzarete

Il monitoraggio web server con visualizzazione grafica, oltre a segnalare i disservizi, consente di seguire i tempi di risposta dei web server e capire l’efficacia del servizio. Il tutto teso a ottimizzare la resa del proprio business on-line.
Come ormai da tempo noto (da studi effettuati da Akamai e Gomez.com gia’ nel 2009), la metà degli utenti di Internet si aspettano che un sito venga caricato in 2 secondi o meno, e tendono ad abbandonare un sito che non viene caricato entro 3 secondi.

Inoltre, il 79% degli acquirenti web che hanno problemi con le prestazioni del sito web affermano che non torneranno al sito per comprare. Questo si traduce in una perdita di profitti negli e-commerce e nella vendita di servizi, oltre che un danno di immagine.

Dropbox, rubati i dati di 68 milioni di account. Cloud sicuro?

Gli hacker hanno ottenuto le credenziali per più di 68 milioni di account per la piattaforma on-line di cloud storage Dropbox. Il furto risale ad una violazione dei dati avvenuta nel 2012, ma solo da pochi giorni si è capita l’entità del furto e i potenziali problemi della sicurezza cloud.
Dropbox ha confermato pochi giorni fa la violazione ed ha comunicato ai propri clienti l’obbligo di reimpostazione la propria password.

sicurezza cloud
sicurezza cloud

Il servizio di controllo e notifica delle violazioni del servizio Leakbase ha individuato file ottenuti dai “trafficanti di database”, circa 5GB di dati contenenti dettagli su 68,680,741 account, che comprendono gli indirizzi e-mail e le hash delle password di utenti Dropbox.

Un dipendente senza nome di Dropbox ha verificato la legittimità dei dati.
Dei 68 milioni, quasi 32 milioni di password sono protette con la funzione di hashing “Bcrypt”, che rende difficile per gli hacker di ottenere le password effettive degli utenti, mentre il resto delle password sono protette debolmente con l’algoritmo di hash SHA-1.

“Abbiamo confermato che la reimpostazione della password proattivo che abbiamo completato la scorsa settimana ha riguardato tutti gli utenti potenzialmente coinvolti”, ha detto Patrick Heim, responsabile della Sicurezza e fiducia per Dropbox.

Fonte: http://thehackernews.com/2016/08/dropbox-data-breach.html

Sicurezza, prestazioni, end-of-life e aggiornamento server linux

Fonte www.sicurezzarete.com.
Gli utenti chiedono sempre nuove features, gli sviluppatori aggiungono protocolli, interfacce, metodi, migliorano, ottimizzano e creano nuove versioni. Cosi’ inesorabilmente i software piu’ vecchi diventano obsoleti e su di essi, pur trattando di open-source, ben pochi ci mettono le mani. Nella fase terminale della loro vita i software ricevono per un po’ solo i “security update”, gli aggiornamenti di sicurezza, quelli senza i quali tali software diverrebbero un grave problema. Poi, i gruppi di sviluppatori piu’ corretti fissano una data di end-of-life, ovvero la fine di qualuque supporto per quella versione del software. Dopo tale data gli sviluppatori ufficiali non apportano piu’ modifiche, neanche quelle per rimediare alle falle di sicurezza piu’ gravi.
Sicurezza Linux End-of-LifeGli sviluppatori corretti si e’ detto, si’ perche’ alcuni terminano completamente il supporto senza neanche renderlo ufficiale. No, non stiamo parlando di qualche solitario free-lance, dentro questa schiera ci sono colossi come APPLE! Si’ avete capito bene, il meraviglioso OSX, il sistema operativo che gira sui famosi “mac” non ha infatti una programmazione di ciclo di vita. Si riceve solo un “caldo” invito ad aggiornare, tanto poi, da alcuni anni il nuovo OS e’ gratis… Si’ ma qualcuno ha hardware non supportato, e per loro?
Tra i software estremamente diffusi che hanno invece un rapido e scandito ciclo di sviluppo, supporto ed end-of-life c’e’ il diffusissimo PHP, il linguaggio server-side usato da oltre l’81% di siti al mondo (1) nel 2016. In particolare la versione 5 domina la scena completamente (2) con il 98,7% rispetto a tutte le versioni da sempre sviluppate.

Delle varie minor-release della versione 5 si osserva inoltre la seguente diffusione (3):

PHP Versione 5.3 -> 34.0% (EOL 14 agosto 2014)
PHP Versione 5.4 -> 30.3% (EOL 2 settembre 2015)
PHP Versione 5.5 -> 16.2%
PHP Versione 5.2 -> 12.3% (EOL 6 gennaio 2011)
PHP Versione 5.6 -> 6.4%
PHP Versione 5.1 -> 0.8% (EOL 24 agosto 2006)
PHP Versione 5.0 -> meno dello 0.1% (EOL 5 settembre 2005)
PHP Versione 5.7 -> meno dello 0.1%

Ora pero’ osservando il ciclo di end-of-life di PHP (4) si nota una cosa importante:
le versioni precedenti alla 5.5 hanno terminato il loro ciclo di supporto alla sicurezza dal 2 settembre 2015. Facendo i calcoli il 77% dei siti web usano una versione di PHP che NON RICEVE SUPPORTO DI SICUREZZA pertanto, in alcuni casi, sono facilmente violabili. L’unica attenuante sono le distribuzioni di classe Enterprise le quali continuano ad applicare patch alle vecchie versioni di PHP per prolungarne la vita.
La soluzione efficace al problema e’ quella di affidarsi ad aziende di assistenza sistemistica che provvedano all’aggiornamento dei server linux e unix al fine di mantenere nel tempo un adeguato livello di sicurezza che possa garantire continuità dei servizi e protezione dei dati.

(1) http://w3techs.com/technologies/overview/programming_language/all
(2) http://w3techs.com/technologies/details/pl-php/all/all
(3) http://w3techs.com/technologies/details/pl-php/5/all
(4) http://php.net/supported-versions.php

Gennaio 2016

Aggiornamento dei certificati ssl, SHA-1 ed effetti su server e client

Nelle scorse settimane i grandi vendor e produttori di browser (leggi Google, Microsoft, Firefox, Opera ) stanno affrontando il problema di dover smettere di accettare certificati ssl firmati con l’algoritmo SHA-1.
sha1_certificati_crittografia
Questo algoritmo che dovrebbe infatti garantire l’autenticita’ della fonte a cui si e’ connessi non e’ piu’ ritenuto sicuro. Alcuni ricercatori sono riusciti a produrre delle “collisioni” e pertanto costruire la possibilita’ di falsificare l’autenticita’ di siti web apparentemente protetti dal “lucchetto verde” e dal sigillo “Connessione Sicura”  (approfondire su argomento SHA1 collisioni, Boomerang Attack).
L’effetto e’ a catena e spinge a un nuovo ricambio generazionale di hardware e software: i vendor decidono di NON accettare piu’ i certificati firmati SHA-1 attraverso i loro browser aggiornati, i grandi utilizzatori (leggi in particolare le Banche) vengono contattati dai loro utenti che rilevano la connessione come “NON sicura”.
installazione di certificati sslI fornitori di servizi “necessariamente sicuri” sono percio’ costretti a sostituire i certificati vecchi con certificati nuovi. I nuovi certificati NON funzionano con i vecchi sistemi operativi e browser (leggi Win XP e Internet Explorer). Gli utenti con vecchi sistemi sono costretti ad aggiornare i loro sistemi.
I gestori di server che usano certificati ssl per proteggere i dati in transito e garantire l’autenticità del proprio sito dovranno a breve aggiornare i certificati o installare la versione SHA256 dei certificati intermedi, pena la segnalazione agli utenti di connessioni “non protette”.
E’ evidente percio’ l’mportanza della corretta gestione ed installazione dei certificati ssl. Rivolgersi a personale qualificato per procedere alla installazione di certificati ssl per server web validita’.